Firepower システムの Network Time Protocol(NTP)に伴う問題のトラブルシューティング
内容
概要
このドキュメントでは、FireSIGHT システムでの時刻の同期に関する一般的な問題とそのトラブルシューティング方法を説明します。FireSIGHTシステム間で時刻を同期する方法は、外部ネットワークタイムプロトコル(NTP)サーバやNTPサーバとして機能するFireSIGHT Management Centerなど、3種類の方法で選択できます。FireSIGHT Management Centerは、NTPを使用してタイムサーバとして設定し、それを使用してFireSIGHT Management Centerと管理対象デバイスの間で時刻を同期できます。
前提条件
要件
時刻の同期を設定するには、FireSIGHT Management Center で admin アクセス レベルが必要です。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
症状
- FireSIGHT Management Center の Web インターフェイスにヘルス アラートが表示される。
- [Health Monitor] ページにアプライアンスが Critical として表示される。これは、Time Synchronization Module のステータスが同期されていないためです。
- アプライアンスの同期が失敗すると、断続的なヘルスアラートが表示されることがあります。
- システムポリシーが適用されると、ヘルスアラートが表示されることがあります。これは、FireSIGHT Management Centerとその管理対象デバイスが同期を完了するのに最大20分かかる可能性があるためです。これは、FireSIGHT Management Center が、管理対象デバイスに時刻を提供する前に、設定された NTP サーバとまず同期する必要があるためです。
- FireSIGHT Management Center と管理対象デバイスの時刻が一致していない。
- センサーで生成されたイベントがFireSIGHT Management Centerで表示されるまでに、数分または数時間かかる場合があります。
- 仮想アプライアンスを実行していて、仮想アプライアンスのクロック設定が同期されていないことが[ヘルスモニタ(Health Monitor)]ページに表示される場合は、システムポリシーの時刻同期設定を確認します。シスコ では、仮想アプライアンスを物理 NTP サーバに同期することを推奨しています。(仮想または物理)管理対象デバイスを Virtual Defense Center と同期しないでください。
トラブルシュート
ステップ 1:NTP 設定の確認
バージョン5.4以前での確認方法
FireSIGHT システムに適用されているシステム ポリシーで NTP が有効になっていることを確認します。これを確認するには、次の手順を実行します。
- [System] > [Local] > [System Policy]を選択します。
- FireSIGHT システムに適用されているシステム ポリシーを編集します。
- [時刻の同期]を選択します。
FireSIGHT Management Center(Defense Center(DC)とも呼ばれます)でクロックが [Via NTP from] に設定されており、NTP サーバのアドレスが指定されていることを確認します。また、[Managed Device ] が [via NTP from Defense Center] に設定されていることを確認します。
リモートの外部NTPサーバを指定する場合、アプライアンスにネットワークアクセスが許可されている必要があります。信頼できないNTPサーバは指定しないでください。管理対象デバイス(仮想または物理)をVirtual FireSIGHT Management Centerに同期しないでください。シスコ では、仮想アプライアンスを物理 NTP サーバに同期することを推奨しています。
バージョン6.0以降での確認方法
バージョン6.0.0以降では、時刻同期設定はFirepower Management Center(FMC)上の別の場所で設定されますが、5.4の手順と同じロジックに従います。
Firepower Management Center(FMC)自体の時刻同期設定は、[System] > [Configuration] > [Time Synchronization]にあります。
管理対象デバイスの時刻同期設定は、[デバイス] > [プラットフォーム設定]にあります。デバイスに適用された[プラットフォーム設定]ポリシーの横にある[編集]をクリックし、[時刻同期]を選択します。
バージョンに関係なく、時刻同期の設定を適用した後、Management Centerと管理対象デバイスの時刻が一致していることを確認します。そうしないと、管理対象デバイスがManagement Centerと通信するときに、意図しない結果が発生する可能性があります。
ステップ 2:タイム サーバとそのステータスの確認
- タイムサーバへの接続に関する情報を収集するには、FireSIGHT Management Centerで次のコマンドを入力します。
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992remote の下のアスタリスク '*' は、現在同期しているサーバを示します。アスタリスクが付いたエントリがない場合は、クロックは現在その時刻源と同期していません。
管理対象デバイスで、シェルに次のコマンドを入力して、NTPサーバのアドレスを確認できます。
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds) - アプライアンスが127.127.1.1と同期していると表示される場合は、アプライアンスが独自のクロックと同期していることを示します。これは、システム ポリシーで設定されているタイム サーバが同期可能ではない場合に発生します。以下に、いくつかの例を示します。
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001 - ntpqコマンドの出力で、st(ストラタム)の値が16であることに気付いたら、タイムサーバに到達できず、アプライアンスがそのタイムサーバと同期できないことを示しています。
- ntpqコマンドの出力では、直近の8回のポーリング試行の成功または失敗を示す8進数がreachに表示されます。値が377の場合は、最後の8回の試行が成功したことを意味します。その他の値は、最後の8回のうち1回以上の試行が失敗したことを示している可能性があります。
ステップ 3:接続の確認
- タイム サーバへの基本接続を確認します。
admin@FireSIGHT:~$ ping - FireSIGHTシステムでポート123が開いていることを確認します。
admin@FireSIGHT:~$ netstat -an | grep 123
- ファイアウォールでポート 123 が開いていることを確認します。
- ハードウェア クロックを確認します。
admin@FireSIGHT:~$ sudo hwclock
ハードウェアクロックが古すぎると、同期が正常に行われない可能性があります。タイムサーバでクロックを手動で設定するには、次のコマンドを入力します。
admin@FireSIGHT:~$ sudo ntpdate -u次に ntpd を再起動します。
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
ステップ 4:コンフィギュレーション ファイルの確認
- sfipproxy.conf ファイルに正しくデータが取り込まれているかどうかを確認します。このファイルは、NTPトラフィックをsftunnel経由で送信します。
管理対象デバイスの/etc/sf/sfipproxy.confファイルの例を次に示します。admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}FireSIGHT Management Centerの/etc/sf/sfipproxy.confファイルの例を次に示します。
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
} - peers セクションの下にある汎用一意識別子(UUID)が、ピアの ims.conf ファイルと一致していることを確認します。たとえば、FireSIGHT Management Centerの/etc/sf/sfipproxy.confファイルのpeersセクションにあるUUIDは、管理対象デバイスの/etc/ims.confファイルにあるUUIDと一致する必要があります。同様に、管理対象デバイスの/etc/sf/sfipproxy.confファイルのpeersセクションにあるUUIDは、管理アプライアンスの/etc/ims.confファイルにあるUUIDと一致する必要があります。
次のコマンドを使用して、デバイスのUUIDを取得できます。
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648通常これらはシステム ポリシーにより自動的に設定されますが、これらのスタンザが欠落していることがあります。変更する必要がある場合は、次のように sfipproxy および sftunnel を再起動する必要があります。
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- ntp.confファイルが/etcディレクトリで使用できるかどうかを確認します。
admin@FireSIGHT:~$ ls /etc/ntp.conf*
NTP コンフィギュレーション ファイルがない場合、バックアップ コンフィギュレーション ファイルからコピーを作成できます。以下に、いくつかの例を示します。
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- /etc/ntp.conf ファイルにデータが正しく取り込まれているかどうかを確認します。システムポリシーを適用すると、ntp.confファイルが書き換えられます。
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift
フィードバック